关于Session Fixation

　　前两天我转了篇文章到pst的邮件列表，是关于在struts 2框架下重新生成session的，引起了一些讨论，我觉得有必要在这里提醒下程序员们，可能他们早就遗忘了这种威胁了。
　　JSESSIONID Regeneration in Struts 2
　　实际上这就是一种针对Session Fixation 的防范。
　　Session Fixation 翻译过来就是 “Session 完成攻击”，以前的老的应用里可能比较常见这种问题，但是随着现在web应用越来越复杂，这种问题已经很少了。
　　先理解这个攻击，打个比方：
　　1. 你花钱买了一辆车
　　2. 你把车钥匙复制了一把
　　3. 你把这辆车卖给了一个冤大头
　　4. 冤大头同学花钱买了辆2手车，结果在某天你趁他不在，用事先复制好的钥匙把车开走了！
　　这个过程就是一个 Session Fixation 的过程，车钥匙就是 Session ID。
　　这类问题的本质在于：WEB应用在认证后没有改写或者更新session，从而导致了认证前的session还能使用。
　　如果攻击者事先能够获知该session ID，则可以欺骗用户使用该session ID进行认证，认证后，由于session ID不变，但是该session变成了一个认证后的session，从而攻击者可以直接使用该session ID以用户身份通过系统的认证。
　　在Web环境里，用户浏览页面时服务器会产生一个session，然后session ID会放在客户端，比如在浏览器URL里，或者是cookie里。用户持有这个session ID，服务器就可以找到他的session。用户输入用户名和密码后，系统对该session进行认证。认证成功，该session就是一个认证后的session，服务器就知道该用户认证过了，用户访问认证页面时就不再需要每次输入用户名和密码了。
　　比如lqqm论坛，就是把session ID放在url里

 
　　常见的利用Session Fixation的方法一般是发送一个link到邮件里，诱骗用户点击后登录，使得该session通过认证，比如：
　　http://www.fvck.com/auth?session=xxxxxxx
　　要对抗这种攻击，很简单，就是认证后重新生成一个session就可以了，甚至是增改当前session都能起到这个目的。
　　像lqqm论坛，在登录后马上就把session重写了。tomcat等也是如此。
　　而现在大部分的网站、论坛等复杂的WEB应用，一般是把session ID放在cookie中，而用户登录后，cookie里一般会多很多东西，这些多出来的东西也可以保证用户不受sesssion fixation攻击的影响。
　　不过，session fixation攻击作为一种漏洞类型，不仅仅局限于用户登录的部分，只要是任何需要“认证”的地方，都需要考虑到这种威胁。